Wdrożenie ISO/IEC 27001

 
 
 
 
 
 
 
 
 
 
 

ISO/IEC 27001 – system zarządzania bezpieczeństwem informacji (SZBI)

 
ISO/IEC 27001 to międzynarodowa norma, określająca wymagania dla systemu zarządzania bezpieczeństwem informacji. Norma może być wdrażana przez wszystkie organizacje, niezależnie od branży, wielkości czy specyfiki działania, np. przedsiębiorstwa produkcyjne, instytucje finansowe typu banki, organizacje działające w sektorze publicznym. Podstawowym celem normy jest zapewnienie odpowiedniej ochrony posiadanych i przetwarzanych przez organizację informacji takich, jak np. dane finansowe, czy informacje poufne oraz minimalizowanie zagrożenia uzyskania dostępu do informacji przez osoby nieupoważnione w sposób nielegalny lub bez zezwolenia.
 
Informacje są to wszystkie dane, posiadane przez organizację, które pozwalają na realizację określonych działań operacyjnych oraz podejmowanie decyzji biznesowych. Informacje zaliczane są do aktywów przedsiębiorstwa, jego wartości. W związku z tym niezbędna jest ich odpowiednia ochrona. Niezależnie od formy przekazywania, przetwarzania, czy przechowywania danych, informacje powinny być zawsze właściwe zabezpieczone przed takimi zagrożeniami, jak np. zniszczenie informacji, kradzież informacji (kradzież danych osobowych, numerów kart kredytowych, szpiegostwo przemysłowe), działanie wirusów komputerowych. Działania takie mogą doprowadzić do utraty konkurencyjności, czy strat finansowych organizacji. Ryzyko pojawiania się zagrożeń bezpieczeństwa informacji zwiększa się wraz z rosnącą liczbą przetwarzanych informacji, przede wszystkim w formie elektronicznej (coraz częściej wykorzystywane systemy Big Data do analizy danych) oraz możliwościami stosowania coraz bardziej zaawansowanych technologii (np. przesyłanie informacji na duże odległości, przechowywanie danych na zewnętrznych serwerach).
 
Norma ISO/IEC 27001 przedstawia systemowe podejście do zarządzania bezpieczeństwem informacji poprzez całościowe zarządzanie posiadanymi przez organizację aktywami informacyjnymi, zarządzanie infrastrukturą wykorzystywaną do przetwarzania informacji oraz zarządzanie ryzykiem w zakresie bezpieczeństwa informacji. Na etapie tworzenia systemu zarządzania bezpieczeństwem informacji identyfikowane są zagrożenia mogące wpływać na obniżenie bezpieczeństwa informacji, a następnie wdrażane są niezbędne systemy zabezpieczeń w celu zapewnienia ciągłości działania organizacji oraz redukcji ryzyka biznesowego do minimum. Norma ISO/IEC 27001 wprowadza odpowiednie zabezpieczenia w aspekcie organizacyjnym (udokumentowane procedury działania) oraz technicznym (zabezpieczenie infrastruktury IT takiej, jak nośniki danych, oprogramowanie, sieć informatyczna).
 
Wdrożenie systemu zarządzania bezpieczeństwem informacji wg ISO/IEC 27001 pozwala również na spełnienie szeregu wymagań prawnych, odnoszących się do zapewnienia bezpieczeństwa informacji takich, jak np. Ustawy o ochronie danych osobowych, Ustawie o prawie autorskim i prawach pokrewnych, czy przepisów prawnych związanych z zachowaniem tajemnicy zawodowej (np. w ochronie zdrowia, usługach bankowych).
PODSTAWOWE ZAŁOŻENIA NORMY ISO/IEC 27001

 

według normy ISO/IEC 27001 bezpieczeństwo informacji należy rozpatrywać w 3 wymiarach: dostępności informacji (definiowanej jako zapewnienie dostępu do informacji dla upoważnionych użytkowników zawsze w przypadku, kiedy informacja jest wymagana do realizacji określonych działań), poufności informacji (oznaczającej, że dostęp do określonych informacji mają tylko wyznaczeni użytkownicy), integralności informacji (definiowanej jako kompletność informacji, informacja zawiera wszystkie dane niezbędne do realizacji zadania)

 

w ramach normy ISO/IEC 27001 pojęcie informacji obejmuje wszystkie informacje przetwarzane i przechowywane w przedsiębiorstwie w dowolnej formie (np. informacje przechowywane w formie elektronicznej na różnych nośnikach, informacje wydrukowane przechowywane w różnych miejscach, przetwarzane w różnych systemach informatycznych, przekazywane bezpośrednio w trakcie rozmów z pracownikami i kontrahentami, prezentowane za pomocą sprzętu audiowizualnego), są to informacje handlowe, techniczne i technologiczne, dotyczące zarządzania organizacją, jak również dane osobowe klientów i kontrahentów

 

norma ISO/IEC 27001 pozwala na zapewnienie odpowiedniego bezpieczeństwa informacji na podstawie określonego ryzyka zniszczenia, utraty czy odtajnienia informacji; oparta jest na zasadzie PDCA (cyklu Deminga: P-Planuj, D-Wykonaj, C-Sprawdzaj, A-Działaj) podobnie jak inne normy dotyczące systemów zarządzania (np. ISO 9001, ISO 14001), zawiera wymagania w zakresie ustanowienia, wdrożenia, funkcjonowania, monitorowania i doskonalenia systemu zarządzania bezpieczeństwem informacji

 

norma ISO/IEC 27001 nie wymaga szczegółowych rozwiązań technicznych w zakresie zapewnienia bezpieczeństwa informacji, określa jedynie obszary, w których należy wprowadzić odpowiednie zabezpieczenia; wybór metody zabezpieczenia jest dobrowolny i zależy od organizacji, jednakże powinien wynikać z przeprowadzonej analizy ryzyka;

 

podstawowe elementy systemu zarządzania bezpieczeństwem informacji wg ISO/IEC 27001 to: ustanowiona polityka i cele w zakresie bezpieczeństwa informacji, deklaracja wdrożenia niezbędnych zabezpieczeń i skutecznego ich stosowania w praktyce, identyfikacja zagrożeń bezpieczeństwa informacji oraz analiza ryzyka, udokumentowane procedury zapewnienia bezpieczeństwa informacji

 

system zarządzania bezpieczeństwem informacji zgodny z normą ISO/IEC 27001 wymaga zbudowania odpowiedniego łańcucha bezpieczeństwa w celu wykrywania najsłabszych ogniw (eliminowanie luk bezpieczeństwa) i wdrażania niezbędnych działań zabezpieczających; tak działający system jest systemem ciągłym i kompletnym

KLUCZOWE ELEMENTY NORMY ISO/IEC 27001:
 
norma ISO/IEC 27001 zbudowana jest z części podstawowej oraz załączników; w części podstawowej normy zawarte zostały wymagania dotyczące ustanowienia i zarządzania SZBI, wymagania odnoszące się do odpowiedzialności kierownictwa, realizacji audytów wewnętrznych oraz przeglądu zarządzania, wymaganych procedur, ciągłego doskonalenia, analizy ryzyka
 
w załączniku A z kolei zdefiniowane zostały obszary, w których należy wdrożyć właściwe zabezpieczenia. Są to: polityka bezpieczeństwa, organizacja bezpieczeństwa informacji, zarządzanie aktywami, bezpieczeństwo zasobów ludzkich, bezpieczeństwo fizyczne i środowiskowe, zarządzanie systemami i sieciami, kontrola dostępu, pozyskiwanie, rozwój i utrzymanie systemów informatycznych, zarządzanie incydentami związanymi z bezpieczeństwem informacji, zarządzanie ciągłością działania systemów informacyjnych, zgodność. Dla każdego wymagania określonego w załączniku A normy ISO/IEC 27001 zdefiniowane zostały odpowiednie zalecenia zawarte w normie ISO/IEC 27002 (Technika informatyczna – Praktyczne zasady zarządzania bezpieczeństwem informacji)

spełnienie obowiązujących wymagań prawnych w zakresie ochrony informacji

większe zaufanie Klientów i Kontrahentów w aspekcie przetwarzanych danych poprzez zapewnienie, że systemy przetwarzania danych i informacje w organizacji są bezpieczne

zachowanie właściwego poziomu bezpieczeństwa informacji w organizacji, co przekłada się na utrzymanie przewagi konkurencyjnej oraz zachowanie wizerunku na rynku

wdrożenie i stosowanie odpowiednich systemów zabezpieczeń, których celem jest niedopuszczenie do utraty, zniszczenia, uszkodzenia lub niewłaściwego użycia informacji, identyfikacja zagrożeń w obszarze bezpieczeństwa informacji oraz ich eliminacja

zwiększenie wiarygodności jako partnera biznesowego, możliwość wykazania zgodności przy wyborze dostawcy (np. w przetargach), możliwość nawiązania współpracy z nowymi Klientami

uporządkowanie działań w organizacji w obszarze tworzenia, przetwarzania, obiegu i wykorzystywania danych informacyjnych

PROCES WDRAŻANIA STANDARDU ISO/IEC 27001 W TWOJEJ FIRMIE realizowany przez SYNERGIAgroup


  1. Audyt zerowy – wstępna ocena Twojej Firmy pod kątem możliwości spełnienia wymagań normy ISO/IEC 27001 (np. w zakresie infrastruktury IT, wyposażenia, funkcjonujących procesów, dokumentacji, sposobów nadzoru), ocena zgodności z obowiązującymi przepisami prawnymi w zakresie ochrony informacji, opracowanie raportu z audytu zerowego wraz ze wskazaniem niezbędnych działań do wdrożenia systemu zarządzania oraz oceną systemu zabezpieczeń funkcjonującego w organizacji
  2. Optymalizacja procesów / określenie kluczowych elementów systemu zarządzania bezpieczeństwem informacji – dokonanie wstępnego opisu procesów oraz opracowanie wstępnych wersji procedur, identyfikacja rozwiązań optymalizacyjnych działania systemowe w zakresie bezpieczeństwa informacji, określenie odpowiedzialności i uprawnień, zdefiniowanie niezbędnych kompetencji w zakresie bezpieczeństwa informacji, określenie zakresu systemu zarządzania bezpieczeństwem informacji na podstawie określonej strategii organizacji oraz wymagań i oczekiwań stron zainteresowanych
  3. Szkolenia wstępne - przekazanie pracownikom / Kierownictwu Twojej Firmy podstawowej wiedzy z zakresu standardu ISO/IEC 27001 niezbędnej do prawidłowego wdrożenia i funkcjonowania systemu
  4. Opracowanie niezbędnej dokumentacji systemowej oraz określenie systemu zabezpieczeń – opracowanie dokumentacji systemowej w zakresie wymaganym przez standard ISO/IEC 27001 indywidualnie dla potrzeb Twojej Organizacji bez zbędnej biurokracji, opracowanie w szczególności:
    - polityki bezpieczeństwa informacji (i jej zakomunikowanie pracownikom Twojej Firmy)
    - udokumentowanie odpowiedzialności i uprawnień w zakresie zarządzania bezpieczeństwem informacji
    - analiza ryzyka: 1. opracowanie, wdrożenie i udokumentowanie metodyki analizy ryzyka wraz z ustaleniem kryteriów przyjęcia oraz poziomów akceptacji ryzyka, 2. przeprowadzenie szacowania ryzyka: określenie aktywów informacyjnych w organizacji, identyfikacja zagrożeń dla poszczególnych aktywów informacyjnych, określenie prawdopodobieństwa wystąpienia zagrożeń, określenie wyników szacowanie ryzykiem, 3. określenie metod postępowania z ryzykiem: określenie strategii działania z ryzykiem wraz z akceptacją poziomu ryzyka szczątkowego, wybór środków postępowania z ryzykiem, określenie niezbędnych zabezpieczeń organizacyjnych, systemowych i technicznych,
    - opracowanie deklaracji stosowania niezbędnych zabezpieczeń
    - opracowanie planu postępowania z ryzykiem
  5. Zatwierdzenie dokumentacji  przez organizację oraz wdrożenie systemu zarządzania bezpieczeństwem informacji - zatwierdzenie dokumentacji systemowej przez Najwyższe Kierownictwo Firmy oraz zapoznanie z nią pracowników Organizacji, podejmowanie działań kontrolnych w zakresie prawidłowego wdrożenia dokumentacji przez poszczególne komórki organizacyjne, wdrożenie planu postępowania z ryzykiem, szkolenia dla pracowników z elementów SZBI w celu zwiększenia ich świadomości w obszarze zarządzania bezpieczeństwem informacji
  6. Weryfikacja wdrożonego systemu zarządzania - sprawdzenie, czy wdrożony system zarządzania spełnia wymagania standardu ISO/IEC 27001 oraz czy jest gotowy do certyfikacji, realizacja działań zgodnie z procedurami monitorowania i przeglądu SZBI, zarządzania incydentami i błędami, przegląd skuteczności SZBI wraz z pomiarem skuteczności zastosowanych zabezpieczeń, przegląd szacowania ryzyka wraz z aktualizacją, przeprowadzenie audytu wewnętrznego, organizacja przeglądu systemu zarządzania bezpieczeństwem informacji, nadzorowanie realizacji działań korygujących określonych w wyniku przeprowadzonych działań weryfikacyjnych SZBI
  7. Audyt certyfikujący (certyfikat ISO/IEC 27001 dla Twojej Firmy) - wsparcie merytoryczne podczas audytu certyfikującego oraz w ustaleniu wszystkich spraw związanych z procesem certyfikacji
  8. Doradztwo po certyfikacji - zapewnienie Twojej Firmie bezpłatnych usług doradczych w zakresie wdrożonego systemu zarządzania przez okres 6 miesięcy po pozytywnym przejściu audytu certyfikującego
  9. Ocena skuteczności realizowanego projektu wdrożeniowego - ocena efektywności naszych wdrożeń w ujęciu długofalowym stanowi nieodzowny element realizowanych przez nas projektów wdrożeniowych, za pomocą którego weryfikujemy realizację założeń projektów oraz podejmujemy odpowiednie działania doskonalące

SYNERGIAgroup to:

 

gwarancja pozytywnej certyfikacji
niskie koszty realizacji
minimalny nakład pracy Twoich pracowników
czas realizacji dostosowany do potrzeb Twojej Firmy

 
 
 

 

 Kontakt
                     tel.: 601 837 351
 e-mail: biuro@synergiagroup.eu

 
Nasza oferta wdrożeniowa obejmuje pełny zakres działań w ramach wdrożenia systemu zarządzania bezpieczeństwem informacji zgodnego z wymaganiami normy ISO/IEC 27001
 
Nasza metodyka wdrożeniowa oparta na zasadzie zarządzania projektami gwarantuje sprawne i skuteczne wdrożenie SZBI w Twojej Firmie
 
Czas wdrożenia dostosowujemy do potrzeb Twojej Firmy - bez obniżenia jakości działań czas wdrożenia może być krótszy niż 3 miesiące
 
Zaangażowanie pracowników Twojej Firmy ograniczone do minimum - realizujemy wszystkie czasochłonne zadania (np. związane z opracowaniem dokumentacji), nie tworzymy zbędnych, niepotrzebnych dokumentów
 
 
Zapoznaj się również z naszą metodyką realizacji projektów wdrożeniowych w zakresie systemów zarządzania
 
 
 
 
 
 
 
 
 
 
 
Zapytaj o ofertę cenową na wdrożenie systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO/IEC 27001 w Twojej Firmie
 

Tworzymy SMART SYSTEM! 

 
Działania realizowane w ramach systemów zarządzania łączymy z optymalizacją procesów zidentyfikowanych w Twojej Firmie, dostosowując budowany system zarządzania do specyfiki działalności Organizacji.
 
Dla nas system zarządzania to przede wszystkim optymalny sposób zarządzania Twoją Firmą, a nie tylko dokumentacja wymagana przez odpowiedni standard jakościowy. Celem dokumentacji systemowej jest opisanie funkcjonującego w Organizacji systemu zarządzania. Opracowanie dokumentacji systemowej nie wystarcza, aby system zarządzania działał skutecznie i przynosił wymierne korzyści dla Organizacji.
 
Tylko połączenie działań w obu obszarach takich, jak identyfikacja procesów w firmie i ich optymalizacja oraz opracowanie na tej podstawie dokumentacji systemowej opisującej rzeczywiste działania zachodzące w organizacji pozwala na stworzenie efektywnego systemu zarządzania.
 
Opracowana przez nas metodyka realizacji projektów, uwzględniająca powyższe założenia umożliwia zbudowanie w Twojej Organizacji systemu zarządzania efektywnie funkcjonującego w perspektywie długookresowej.
 

SMART SYSTEM to:

 
S – solidne fundamenty pod budowę systemupoznajemy Twoją Firmę, identyfikujemy procesy, aby możliwa była ich optymalizacja
 
M – mierzalne wyniki  - w zakresie współpracy określamy, jaki jest cel projektu oraz jakie są oczekiwania Klienta (ukierunkowanie na osiągnięcie zamierzonych efektów), w zakresie budowanego systemu zarządzania – określamy w Twojej Firmie wskaźniki KPI (czyli kluczowe wskaźniki efektywności, ang. Key Performance Indicators), na podstawie których doskonalony jest system zarządzania
 
A – autentycznysystem funkcjonuje każdego dnia w praktyce, nie tylko na papierze
 
R – rozwojowysystem zarządzania powinien być modyfikowany w miarę potrzeb oraz systematycznie doskonalony (określamy cele zgodne ze strategią oraz kierunkami działania Twojej Organizacji) tak, aby przyczyniał się on do rozwoju całej firmy
 
T – techniki działaniaoferujemy zastosowanie nowoczesnych technik w zakresie wdrażania systemu, jak i w trakcie jego nadzorowania (działania oparte na zasadzie zarządzania projektami, możliwość wykorzystania elektronicznej platformy do budowy i nadzorowania dokumentacji systemowej)
 
 
 
 
 
 
 
 
 
 

MOCNE STRONY NASZYCH PROJEKTÓW:



projekty realizowane przez konsultantów - praktyków,
którzy posiadają doświadczenie jako audytorzy jednostek certyfikujących oraz w pracy w przedsiębiorstwach produkcyjnych / usługowych na stanowiskach kierowniczych
 

identyfikacja możliwych działań usprawniających procesy
w organizacji, szukanie optymalnych rozwiązań, eliminujących zbędne czynności


niskie koszty realizacji,
co przekłada się na atrakcyjność oferty cenowej dla Twojej Firmy przy zachowaniu profesjonalizmu oraz wysokiej jakości świadczonych usług
 

krótki czas realizacji projektu
(dostosowujemy się do Twoich potrzeb, jesteśmy elastyczni)
 

minimalny nakład pracy
pracowników Twojej Firmy
 

dokładna identyfikacja wymagań prawnych oraz innych,
do których spełnienia organizacja jest zobowiązana na początkowym etapie realizacji projektu, a następnie określenie działań, niezbędnych do wykonania w celu uzyskania zgodności z tymi wymaganiami
 

terminowość realizacji
- działamy w oparciu o ustalone wskaźniki raportowania postępu naszych prac w odniesieniu do harmonogramu opracowanego na wstępnym etapie realizacji projektu
 

gwarancja 100% skuteczności projektu wdrożeniowego
(wraz z certyfikacją) przy zastosowaniu się organizacji do naszych zaleceń w trakcie realizowanych projektów 

Zapoznaj się również z naszą ofertą szkoleniową w zakresie standardu ISO/ IEC 27001


System Zarządzania Bezpieczeństwem Informacji w Twojej Firmie według normy ISO/ IEC 27001 - wprowadzenie, podstawy i metodologia wdrożenia systemu
 
Audytor wewnętrzny Systemu Zarządzania Bezpieczeństwem Informacji ISO / IEC 27001 - uzyskaj nowe kwalifikacje i zdobądź wiedzę praktyczną 
 
Pełnomocnik ds. Systemu Zarządzania Bezpieczeństwem Informacji ISO / IEC 27001 - uzyskaj nowe kwalifikacje i zdobądź wiedzę praktyczną
 
Pełnomocnik ds. Zintegrowanego Systemu Zarządzania Jakością ISO 9001 oraz Bezpieczeństwem Informacji ISO / IEC 27001- integracja ma wiele korzyści
 
 
 
 
 
 
 
 
Pozostałe systemy, w ramach których realizujemy projekty wdrożeniowe:

ISO 9001, ISO 22000, ISO 22716 / GMP Kosmetyczne, ISO 14001, System HACCP, FSSC 22000, BRC Food, BRC Packaging, BRC CP, BRC S&D, IFS Food, IFS Logistics, IFS HPC, IFS PACsecure, BIO, UTZ, RSPO, OHSAS 18001, GMP, Systemy zintegrowane
W celu uzyskania szczegółowych informacji w zakresie oferowanych usług zapraszamy do kontaktu z naszymi konsultantami za pomocą poniższego formularza.

Formularz kontaktowy

Tel. 601 837 351 

biuro@synergiagroup.eu

Wszelkie prawa zastrzeżone 2017 SYNERGIAgroup                                                                                                         Mapa strony
 
Ta strona może korzystać z Cookies.
Ta strona może wykorzystywać pliki Cookies, dzięki którym może działać lepiej. W każdej chwili możesz wyłączyć ten mechanizm w ustawieniach swojej przeglądarki. Korzystając z naszego serwisu, zgadzasz się na użycie plików Cookies.

OK, rozumiem lub Więcej Informacji
Informacja o Cookies
Ta strona może wykorzystywać pliki Cookies, dzięki którym może działać lepiej. W każdej chwili możesz wyłączyć ten mechanizm w ustawieniach swojej przeglądarki. Korzystając z naszego serwisu, zgadzasz się na użycie plików Cookies.
OK, rozumiem